← Volver al blog

Héctor Matías

Lo que nadie te explica sobre la privacidad cuando usas IA en tu empresa

IAPrivacidadSeguridadDatosEmpresas

Cada semana hay una empresa nueva que conecta su CRM, sus emails o sus contratos a alguna herramienta de IA. Sin política interna, sin revisar los términos de servicio, sin saber qué pasa con esos datos después.


No lo hacen con mala intención. Lo hacen porque la herramienta funciona bien en la demo y nadie en el equipo levantó la mano para preguntar adónde van los datos.


Ese descuido tiene consecuencias. Algunas inmediatas, como una brecha de datos o una multa del regulador. Otras más lentas, como que tu información comercial acabe formando parte del entrenamiento de un modelo que también usa tu competencia.


El error de confundir “encriptado” con “privado”

La mayoría de herramientas de IA empresarial te dirán que sus comunicaciones están encriptadas. Es cierto. Pero encriptación en tránsito no significa que el proveedor no tenga acceso a lo que le mandas.


La pregunta relevante no es si el dato va encriptado. Es quién puede leerlo una vez que llega al otro lado.


Hay que distinguir tres situaciones distintas:


  • El proveedor puede leer tus datos y los usa para mejorar sus modelos (la situación más común con herramientas gratuitas o de bajo coste)
  • El proveedor puede leer tus datos pero se compromete contractualmente a no usarlos para entrenamiento (planes enterprise de la mayoría de proveedores serios)
  • El proveedor no tiene acceso a tus datos porque el modelo corre en tu infraestructura o en una instancia dedicada (la opción más segura y la más cara)

Saber en cuál de estas tres estás no requiere ser técnico. Requiere leer el contrato y, si no está claro, pedirlo por escrito antes de firmar.


Los tres puntos del contrato que el 90% de empresas no leen

Cuando una empresa adopta una herramienta de IA, el departamento de compras suele negociar precio y soporte. Casi nunca negocian las cláusulas de datos. Estas son las tres preguntas que deberían quedar respondidas por escrito:


¿Se usan mis datos para entrenar modelos? No asumas que no. Si el contrato no lo prohíbe explícitamente, probablemente sí. Los grandes proveedores tienen planes enterprise con cláusulas de opt-out del entrenamiento. Actívalas.


¿Dónde se almacenan mis datos y por cuánto tiempo? En muchos países, los datos de clientes o empleados tienen restricciones legales sobre dónde pueden residir. Si usas una herramienta americana y tus clientes son europeos, el cumplimiento del RGPD no es opcional. Tienes que saber si el dato se procesa en servidores europeos o si cruza fronteras.


¿Qué pasa con mis datos si dejo de ser cliente? El ciclo de vida del dato no termina cuando cancelas la suscripción. Exige una cláusula de eliminación con plazo concreto. Sin eso, tu información puede quedar en backups o en sistemas de entrenamiento indefinidamente.


Lo que el RGPD implica en la práctica cuando usas IA

Si operas en Europa o tienes clientes europeos, cada herramienta de IA que procese datos personales convierte al proveedor en un encargado del tratamiento bajo el RGPD. Eso tiene consecuencias concretas.


Necesitas un acuerdo de procesamiento de datos (DPA) firmado con el proveedor. Sin él, estás incumpliendo el reglamento aunque la herramienta funcione perfectamente.


Antes de introducir datos de clientes, empleados o proveedores en cualquier herramienta de IA, tienes que poder responder: ¿tengo base legal para este tratamiento? Las más comunes son el consentimiento explícito o el interés legítimo, pero depende del tipo de dato y del uso que le des.


Y si usas IA para tomar decisiones que afectan a personas —filtrar candidatos en RRHH, personalizar ofertas a clientes— el RGPD tiene requisitos adicionales sobre transparencia y derecho de oposición que van más allá del simple almacenamiento.


Esto no es para asustarte. Es para que lo gestiones antes de que llegue una auditoría o una queja de un cliente.


Una política de datos mínima que cualquier empresa puede implementar

No necesitas un equipo legal completo para establecer un mínimo de orden. Cuatro decisiones que cualquier empresa de entre 10 y 200 personas debería tomar antes de escalar el uso de IA:


Define qué tipos de datos pueden entrar en herramientas de IA externas. Información comercial estratégica, datos de nóminas, contratos con terceros y datos de salud de empleados deberían estar en una categoría restringida. No porque la IA no pueda ayudarte con eso, sino porque el coste de un error es demasiado alto.


Elige proveedores que tengan DPA disponible y firmado. Si un proveedor no ofrece un acuerdo de procesamiento de datos cuando lo pides, eso solo te dice que no están pensando en clientes con requisitos de compliance real.


Establece qué herramientas están aprobadas y cuáles no. El shadow IT con IA es masivo. Tu equipo ya usa herramientas que desconoces. Un registro mínimo de herramientas aprobadas reduce el riesgo sin frenar la productividad.


Forma a tu equipo en una regla simple: antes de pegar datos sensibles en una herramienta nueva, preguntar. No necesitas formación extensa. Necesitas que la fricción esté en el sitio correcto.


El coste de no hacer nada

Las multas del RGPD van del 2% al 4% de la facturación anual global. Eso es lo que puede costar una implementación descuidada. Pero el coste reputacional, en sectores donde la confianza es un activo clave, puede ser mucho mayor.


La buena noticia es que este no es un problema tecnológico difícil. Es un problema de proceso. Y los problemas de proceso se resuelven con decisiones, no con presupuesto.


Antes de conectar el siguiente sistema a una herramienta de IA, dedica treinta minutos a responder las tres preguntas de esta guía. Si no puedes responderlas, tienes trabajo que hacer antes de seguir adelante.